网站安全性测试体系

1、网站安全性测试体系目 录1文档概述21.1 文档目的21.2 文档范围21.3 读者对象21.4 历史记录32 .安全测试检查点32.1 网页安全检查点32.1.1 输入的数据没有进行有效的控制和验证 32.1.2 用户名和密码32.1.3 直接输入需要权限的网页地址可以访问 42.1.4 上传文件没有限制 42.1.5 不安全白存储42.1.6 操作时间白失效性 52.1.7 日志完整性52.2 系统服务器安全检查点 52.3 数据库安全检查点 62.4 支付宝接口检查点 63 .网页安全测试工具 73.1 IBM AppScan 73.2 HttpWatch 73.3 Acunetix W

2、eb Vulnerability 74 .信息安全入侵测试94.1 上传漏洞94.2 暴库94.3 注入漏洞94.4 旁注114.5 COOKIE 诈骗115 .测试用例模板 111文档概述1.1 文档目的根据莱尔巴蒂电子商务网站的安全需求， 对网站进行安全测评，测试内容涉及服 务器主机安全、应用安全和数据安全，以及网站的重要安全隐患，如跨站脚本攻 击、SQL注入、信息泄露、不安全的配置管理、支付方面、用户信息方面、商品 管理方面等。1.2 文档范围包括首页网页安全检查点、数据库安全检查点、系统安全检查点、接口安全 测试等几方面展开1.3 读者对象公司内部测试，研发成员及管理层及第三方顾问1.

3、4 历史记录修订历史记录版本日期AMD修订者说明2.02010-7-5无陈付游无（A-添加，M-修改，D-删除）2.安全测试检查点2.1 网页安全检查点2.1.1 输入的数据没有进行有效的控制和验证1）数据类型（字符串，整型，实数，等）2）允许的字符集3）最小和最大的长度4）是否允许空输入5）参数是否是必须的6）重复是否允许7）数值范围8）特定的值（枚举型）9）特定的模式（正则表达式）（注：建议尽量采用白名单）2.1.2 用户名和密码1）检测接口程序连接登录时，是否需要输入相应的用户2） 是否设置密码最小长度（密码强度）3）用户名和密码中是否可以有空格或回车？4）是否允许密码和用户名一致5）防

4、恶意注册：可否用自动填表工具自动注册用户？（傲游等）6） 遗忘密码处理7）有无缺省的超级用户？（admin等，关键字需屏蔽）8) 有无超级密码?9) 是否有校验码？10) 密码错误次数有无限制？11) 大小写敏感？12) 口令不允许以明码显示在输出设备上13) 强制修改的时间间隔限制(初始默认密码)14) 口令的唯一性限制(看需求是否需要)15) 口令过期失效后，是否可以不登陆而直接浏览某个页面16) 哪些页面或者文件需要登录后才能访问/下载17) cookie 中或隐藏变量中是否含有用户名、密码、userid 等关键信息2.1.3 直接输入需要权限的网页地址可以访问避免研发只是简单的在客户端

5、不显示权限高的功能项举例Bug：1) 没有登录或注销登录后，直接输入登录后才能查看的页面的网址(含跳转页面)能直接打开页面；2) 注销后，点浏览器上的后退，可以进行操作。3) 正常登录后，直接输入自己没有权限查看的页面的网址，可以打开页面。4) 通过 Http 抓包的方式获取Http 请求信息包经改装后重新发送5) 从权限低的页面可以退回到高的页面(如发送消息后，浏览器后退到信息填写页面，这就是错误的)2.1.4 上传文件没有限制1) 上传文件还要有大小的限制。2) 上传木马病毒等(往往与权限一起验证)3) 上传文件最好要有格式的限制；2.1.5 不安全的存储1) 在页面输入密码，页面应显示“

6、 * ； ”2) 数据库中存的密码应经过加密；3) 地址栏中不可以看到刚才填写的密码；4) 右键查看源文件不能看见刚才输入的密码；5）帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表,推荐使用某种形式的假名（屏幕名）来指向实际的帐号2.1.6 操作时间的失效性1） 检测系统是否支持操作失效时间的配置，同时达到所配置的时间内没有对界面进行任何操作时，检测系统是否会将用户自动失效，需要重新登录系统。2）支持操作失效时间的配置。3）支持当用户在所配置的时间内没有对界面进行任何操作则该应用自动失效。如，用户登陆后在一定时间内（例如 15分钟）没有点击任何页面，是否需要重新登陆

7、才能正常使用。2.1.7 日志完整性1） 检测系统运行时是否会记录完整的日志如进行详单查询，检测系统是否会记录相应的操作员、操作时间、系统状态、操 作事项、IP地址等。2）检测对系统关键数据进行增加、修改和删除时，系统是否会记录相应的修改时间、操作人员和修改前的数据记录2.2 系统服务器安全检查点1）检查关闭不必要的服务2）是否建立安全账号策略和安全日志3）是否已设置安全的IIS ,删除不必要的IIS组件和进行IIS安全配置4） Web站点目录的访问权限是否过大5）服务器系统补丁是否打上，是否存在系统漏洞6）扫描检测木马2.3 数据库安全检查点1 .系统数据是否机密1）尽量不要使用 Sa账户，

8、密码够复杂2）严格控制数据库用户的权限，不要轻易给用户直接的查询、更改、插入、删除权 限。可以只给用户以访问视图和执行存储过程的权限3）数据库的帐号，密码（还有端口号）是不是直接写在配置文件里而没有进行加密2 .系统数据的完整性3 .系统数据可管理性4 .系统数据的独立性5 .系统数据可备份和恢复能力（数据备份是否完整，可否恢复，恢复是否可以完整）1）服务器突然断电，这可能导致配置文件的错误导致无法访问或者数据的丢失2）重做日志发生损坏，这可能导致数据库管理员无法把数据恢复到故障发生时的点3）硬盘发生故障而导致数据丢失，这主要是要测试备份文件异地存放的有效性4）数据批量更新的错误处理，这主要是

9、数据库备份测试数据库管理员在进行批量更 新之前是否有先对数据库进行备份的习惯，等等。2.3支付宝接口检查点1 .支付的接口2 .支付的入口3 .与各个银行的数据接口安全4 .与支付宝的接口3.网页安全测试工具3.1 IBM AppScanIBM AppScan 该产品是一个领先的Web应用安全测试工具，曾以 WatchfireAppScan的名称享誉业界。Rational AppScan 可自动化 Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如 SQL注入(SQL-injection )、跨站点脚本攻击(cross-site scripting )、缓冲区溢出(b

10、uffer overflow )及最新的 Flash/Flex 应用 及Web 2.0应用曝露等方面安全漏洞的扫描。3.2 HttpWatchHttpWatch是强大的网页数据分析工具 .集成在Internet Explorer工具栏.包括网页摘 要.Cookies管理.缓存管理.消息头发送/接受.字符查询.POST数据和目录管理功能.报告输出 HttpWatch是一款能够收集并显示页页深层信息的软件。它不用代理服务器或一些复杂的网络监控工具，就能够在显示网页同时显示网页请求和回应的日志信息。甚至可以显示浏览器缓存和IE之间的交换信息。集成在 Internet Explorer工具栏。3.3

11、Acunetix Web VulnerabilityAcunetix Web Vulnerability是通过缓慢运行该软件和运行诸如交叉站点脚本和SQL涌入这样的流行的攻击方式来测试网站的安全性。在黑客攻击之前识别出购物车、窗体、安全区域和网络应用软件的攻击弱点。通过构建HTTP和HTTPS请求扩展攻击并且分析响应。创建或者定制弱点攻击。支持所有主要的网络技术。1 .它将会扫描整个网站，它通过跟踪站点上的所有链接和robots.txt (如果有的话)而实现扫描。然后WVS就会映射出站点的结构并显示每个文件的细节信息。2 .在上述的发现阶段或扫描过程之后，WVS就会自动地对所发现的每一个页面发

12、动一系列的漏洞攻击，这实质上是模拟一个黑客的攻击过程。WVS分析每一个页面中可以输入数据的地方，进而尝试所有的输入组合。这是一个自动扫描阶段。3 .在它发现漏洞之后， WVS就会在“ Alerts Node （警告节点）”中报告这些漏洞。每一 个警告都包含着漏洞信息和如何修复漏洞的建议。4 .在一次扫描完成之后，它会将结果保存为文件以备日后分析以及与以前的扫描相比较。 使用报告工具，就可以创建一个专业的报告来总结这次扫描。WVS自动地检查下面的漏洞和内容：版本检查，包括易受攻击的 Web服务器，易受攻击的 Web服务器技术 CGI测试，包括 检查Web服务器的问题，主要是决定在服务器上是否启用

13、了危险的HTTP方法，例如PUT,TRACE DELET萼等。参数操纵：主要包括跨站脚本攻击（ XSS、SQL注入攻击、代码执行、目录遍历攻击、文件入侵、脚本源代码泄漏、CRLF注入、PHP代码注入、XPath注入、LDAP注入、Cookie操纵、URL重定向、应用程序错误消息等。多请求参数操纵：主要是Blind SQL / XPath 注入攻击文件检查：检查备份文件或目录，查找常见的文件（如日志文件、应用程序踪迹等），以及URL中的跨站脚本攻击，还要检查脚本错误等。目录检查，主要查看常见的文件，发现敏感的文件和目录，发现路径中的跨站脚本攻击等。Web应用程序：检查特定 Web应用程序的已知漏

14、洞的大型数据库，例如论坛、 Web入 口、CMS系统、电子商务应用程序和 PHP库等。 文本搜索：目录列表、源代码揭示、检查 电子邮件地址、微软 Office中可能的敏感信息、错误消息等。GHDB Google攻击数据库：可以检查数据库中1400多条GHDB搜索项目。Web服务：主要是参数处理，其中包括SQL注入/Blind SQL注入（即盲注攻击）、代码执行、XPath注入、应用程序错误消息等。使用该软件所提供的手动工具，还可以执行其它的漏洞测试，包括输入合法检查、验证攻击、缓冲区溢出等。4 .信息安全入侵测试4.1 上传漏洞利用上传漏洞可以直接得到网页管理员权限，危害等级超级高，现在的入侵

15、中上传漏洞也是常见的漏洞。“上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站，都存在上传漏洞。网站有上传页面，如果页面对上传文件扩展名过滤不严，导致黑客能直接上传带木马的文件，直接上传后即拥有网站的管理员控制权。4.2 暴库暴库，就是通过一些技术手段或者程序漏洞得到数据库的地址，并将数据非法下载到本地。比如一个站的地址为 ,就可以把com/dispbbs中间的/换成5孰如果有漏洞直接得到数据库的绝对路径。用迅雷什么的下载 conn.asp如果没有修改默认的数据库路径也可以得到数据库的路径。卜来就可以了。还有种方法就是利用默认的数据库路径后面加上4.3 注入漏洞注入漏洞是利

16、用某些输入或者资料输入特性以导入某些资料或者代码，造成目标系统操 作崩溃的电脑漏洞，通常这些漏洞安全隐患是由不充分的输入确认及其他种种因素造成的。 我们需要使用到以下几种方式进行测试：4.3.1、 SQL攻击，简称注入攻击，是发生于应用程序之数据库层的安全漏洞。简而言 之，是在输入的字符串之中注入SQL旨令，在设计不良的 程序当中忽略了检查，那么这些注入进去的指令就会被数据库月艮务器误认为是正常的SQL指令而运行，因此遭到破坏。测试方法:某个网站的登录验证的SQL查询代码为strSQL = "SELECT * FROM users WHERE (name = '"

17、+ userName + "') and (pw = '"+passWord +"');"恶意填入userName = "' OR '1'='1"与passWord = "' OR '1'='1"时，将导致原本的 SQL字符串被填为strSQL = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = &#

18、39;' OR '1'='1');"也就是实际上运行的SQL命令会变成下面这样的strSQL = "SELECT * FROM users;"因此达到无帐号密码，亦可登录网站。4.3.2、 跨网站指令码(Cross-site scripting,通常简称为 XSS是一种网站应用程式的安全漏洞攻击，允许恶意使用者将程式码注入到网页上，其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。测试方法：通常有一些方式可以测试网站是否有正确处理特殊字符：><script>alert(do

19、cument.cookie)</script>='><script>alert(document.cookie)</script><script>alert(document.cookie)</script><script>alert(vulnerable)</script>%3Cscript%3Ealert('XSS')%3C/script%3E<script>alert('XSS')</script><img src="javascript:alert('XSS')"><img src=" onerror="aler